Πάνω από 15 δωρεάν εφαρμογές VPN που βρίσκονταν στο Google Play, ήταν τελικά κακόβουλες, αφού μετέτρεπαν συσκευές Android σε residential proxies, που πιθανότατα χρησιμοποιούνται για εγκλήματα στον κυβερνοχώρο και shopping bots.

Τα residential proxies είναι συσκευές που δρομολογούν το internet traffic μέσω συσκευών που βρίσκονται σε σπίτια, για άλλους απομακρυσμένους χρήστες, με στόχο να φαίνεται το traffic νόμιμο και να μειωθούν οι πιθανότητες να αποκλειστεί.

Αυτές οι συσκευές έχουν και νόμιμες χρήσεις (π.χ. για έρευνα αγοράς, επαλήθευση διαφημίσεων και SEO), αλλά πολλές φορές χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου που θέλουν να αποκρύψουν τις κακόβουλες δραστηριότητές τους, όπως απάτη διαφημίσεων, spamming, phishing, credential stuffing και password spraying.

Δείτε επίσης: Anatsa: Το Android banking trojan πέρασε στο Google Play και στοχεύει περισσότερες χώρες

Οι χρήστες μπορούν να εγγραφούν εθελοντικά σε υπηρεσίες proxy για να λάβουν χρηματικές ή άλλες ανταμοιβές, αλλά ορισμένες από αυτές τις υπηρεσίες χρησιμοποιούν ανήθικα μέσα για να εγκαταστήσουν κρυφά τα proxying εργαλεία στις συσκευές των χρηστών.

Μετά την εγκατάσταση τους στις συσκευές, το internet bandwidth των θυμάτων παραβιάζεται χωρίς να το γνωρίζουν οι ίδιοι, ενώ κινδυνεύουν να αντιμετωπίσουν νομικά προβλήματα, λόγω της εμφάνισής του ως πηγή κακόβουλης δραστηριότητας.

Η ομάδα ερευνητών Satori της HUMAN εντόπισε 28 εφαρμογές στο Google Play, που μετέτρεπαν κρυφά τις συσκευές Android σε proxy servers και οι 17 από αυτές εμφανίζονταν ως δωρεάν λογισμικό VPN.

Οι αναλυτές της Satori αναφέρουν ότι οι κακόβουλες εφαρμογές χρησιμοποιούσαν ένα software development kit (SDK) από την LumiApps που περιείχε το “Proxylib“, μια βιβλιοθήκη Golang για την εκτέλεση του proxying.

Οι ερευνητές ανακάλυψαν τις πρώτες εφαρμογές το Μάιο του 2023. Στα τέλη του ίδιου μήνα, παρατήρησαν δραστηριότητα σε hacking forum και νέες Android εφαρμογές VPN.

Δείτε επίσης: Aircove Go: Το φορητό Wi-Fi 6 router της ExpressVPN με built-in VPN

Μια μεταγενέστερη έρευνα αποκάλυψε ένα σύνολο 28 εφαρμογών που χρησιμοποίησαν τη βιβλιοθήκη ProxyLib για τη μετατροπή συσκευών Android σε proxies:

  1. Lite VPN
  2. Anims Keyboard
  3. Blaze Stride
  4. Byte Blade VPN
  5. Android 12 Launcher (by CaptainDroid)
  6. Android 13 Launcher (by CaptainDroid)
  7. Android 14 Launcher (by CaptainDroid)
  8. CaptainDroid Feeds
  9. Free Old Classic Movies (by CaptainDroid)
  10. Phone Comparison (by CaptainDroid)
  11. Fast Fly VPN
  12. Fast Fox VPN
  13. Fast Line VPN
  14. Funny Char Ging Animation
  15. Limo Edges
  16. Oko VPN
  17. Phone App Launcher
  18. Quick Flow VPN
  19. Sample VPN
  20. Secure Thunder
  21. Shine Secure
  22. Speed Surf
  23. Swift Shield VPN
  24. Turbo Track VPN
  25. Turbo Tunnel VPN
  26. Yellow Flash VPN
  27. VPN Ultra
  28. Run VPN

Η LumiApps είναι μια πλατφόρμα δημιουργίας εσόδων από εφαρμογές Android που δηλώνει ότι το SDK της θα χρησιμοποιεί τη διεύθυνση IP μιας συσκευής για τη φόρτωση ιστοσελίδων στο παρασκήνιο και την αποστολή των ανακτημένων δεδομένων σε εταιρείες.

Η Lumiapps βοηθά τις εταιρείες να συλλέγουν πληροφορίες που είναι δημόσια διαθέσιμες στο διαδίκτυο. Χρησιμοποιεί τη διεύθυνση IP του χρήστη για να φορτώσει πολλές ιστοσελίδες στο παρασκήνιο από γνωστούς ιστότοπους“, αναφέρει ο ιστότοπος.

Αυτό γίνεται με τρόπο που δεν διακόπτει ποτέ τον χρήστη και συμμορφώνεται πλήρως με τον GDPR/CCPA. Στη συνέχεια, οι ιστοσελίδες αποστέλλονται σε εταιρείες, οι οποίες τις χρησιμοποιούν για να βελτιώσουν τις βάσεις δεδομένων τους, προσφέροντας καλύτερα προϊόντα, υπηρεσίες και τιμές“, αναφέρει ακόμα.

Δείτε επίσης: Το TMChecker εκμεταλλεύεται για επιθέσεις εναντίον VPN και email

Ωστόσο, δεν είναι σαφές εάν οι προγραμματιστές των δωρεάν VPN εφαρμογών γνώριζαν ότι το SDK μετέτρεπε τις Android συσκευές σε proxy servers (που θα μπορούσαν να χρησιμοποιηθούν για ανεπιθύμητες και κακόβουλες δραστηριότητες).

Η HUMAN πιστεύει ότι οι κακόβουλες εφαρμογές συνδέονται με τον ρωσικό πάροχο proxy υπηρεσιώνAsocks“, κάνοντας μια έρευνα. Η υπηρεσία Asocks προωθείται συνήθως σε εγκληματίες του κυβερνοχώρου σε hacking φόρουμ.

Τον Ιανουάριο του 2024, η LumiApps κυκλοφόρησε τη δεύτερη σημαντική έκδοση του SDK μαζί με το Proxylib v2.

Η Google αφαίρεσε από το Play Store τις Android εφαρμογές VPN, που χρησιμοποιούν το LumiApps SDK, τον Φεβρουάριο του 2024. Επίσης, ενημέρωσε το Google Play Protect για να εντοπίσει τις βιβλιοθήκες LumiApp που χρησιμοποιούνται στις εφαρμογές.

Ωστόσο, πολλές από τις παραπάνω εφαρμογές βρίσκονται ξανά στο Google Play, αφού λογικά οι προγραμματιστές τους αφαίρεσαν το κακόβουλο SDK.

Όσοι είχαν κατεβάσει κάποια από αυτές τις εφαρμογές, πρέπει να την αφαιρέσουν από τη συσκευή τους ή έστω να την ενημερώσουν στην πιο πρόσφατη έκδοση που λογικά δεν περιέχει το κακόβουλο SDK.

Εάν η εφαρμογή δεν υπάρχει πια στο Google Play, σημαίνει ότι δεν υπάρχει κάποια ασφαλής έκδοση, οπότε θα πρέπει να απεγκατασταθεί οπωσδήποτε από τη συσκευή.

Είναι απαραίτητο να είμαστε προσεκτικοί με τις εφαρμογές που κατεβάζουμε στις Android συσκευές μας. Πρέπει να επιλέγουμε μόνο αξιόπιστες πηγές, όπως το Google Play Store ή το Apple App Store. Αλλά ακόμη και σε αυτές τις πλατφόρμες, πρέπει να ελέγχουμε προσεκτικά τις αξιολογήσεις και τα σχόλια των άλλων χρηστών.

Δείτε επίσης: Το Ιράν απαγορεύει τη “μη εξουσιοδοτημένη” χρήση VPN

Είναι πιο ασφαλές να εγκαθιστούμε γνωστές Android VPN εφαρμογές επί πληρωμή αντί για δωρεάν υπηρεσίες, καθώς πολλά δωρεάν προϊόντα μπορεί να είναι κακόβουλα.

Είναι, επίσης, σημαντικό να διατηρούνται οι συσκευές ενημερωμένες. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τις συσκευές από τις πιο πρόσφατες απειλές.

Τέλος, η χρήση εφαρμογής ασφαλείας ή λογισμικού antivirus μπορεί να προσφέρει επιπλέον προστασία. Αυτές οι εφαρμογές μπορούν να ανιχνεύσουν και να απομακρύνουν κακόβουλο λογισμικό πριν αυτό προκαλέσει ζημιά.

Πηγή: www.bleepingcomputer.com